Suporte para autenticação FIDO2 com o Microsoft Entra ID
O Microsoft Entra ID permite que as chaves de acesso sejam usadas para autenticação sem senha. Este artigo aborda quais aplicativos nativos, navegadores da Web e sistemas operacionais dão suporte à autenticação sem senha usando chaves de acesso com o Microsoft Entra ID.
Observação
Atualmente, o Microsoft Entra ID oferece suporte a chaves de acesso vinculadas ao dispositivo armazenadas em chaves de segurança FIDO2 e no Microsoft Authenticator. A Microsoft está comprometida em proteger clientes e usuários com chaves de acesso. Estamos investindo em chaves de acesso sincronizadas e vinculadas a dispositivos para contas corporativas.
Suporte a aplicativos nativos
As seções a seguir abrangem o suporte para aplicativos da Microsoft e de terceiros. A autenticação com chave de acesso (FIDO2) com um IDP (Provedor de Identidade) de terceiros não tem suporte em aplicativos de terceiros usando o agente de autenticação ou aplicativos da Microsoft no macOS, iOS ou Android no momento.
Suporte a aplicativos nativos com o agente de autenticação (versão prévia)
Os aplicativos da Microsoft fornecem suporte nativo à autenticação do FIDO2 em Preview para todos os usuários que têm um agente de autenticação instalado para seu sistema operacional. A autenticação FIDO2 também tem suporte na visualização de aplicativos de terceiros usando o agente de autenticação.
As tabelas a seguir listam quais agentes de autenticação são aceitos para diferentes sistemas operacionais.
| SO | Agente de autenticação | Suporta a FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Portal da Empresa do Microsoft Intune1 | ✅ |
| Android2 | Autenticador, Portal da Empresa ou Link para o aplicativo do Windows | ✅ |
1No macOS, o plug-in do logon único (SSO) do Microsoft Enterprise é necessário para habilitar o Portal da Empresa como um agente de autenticação. Os dispositivos que executam o macOS devem atender aos requisitos de plug-in de SSO, incluindo o registro no gerenciamento de dispositivo móvel. Para autenticação FIDO2, verifique se você executa a versão mais recente de aplicativos nativos.
2 O suporte a aplicativos nativos para chaves de segurança FIDO2 no Android versão 13 e inferior está em desenvolvimento.
Se um usuário instalou um agente de autenticação, ele pode optar por entrar com uma chave de segurança quando acessar um aplicativo como o Outlook. Eles são redirecionados para iniciar sessão com o FIDO2 e redirecionados de volta para o Outlook como um usuário conectado após a autenticação bem-sucedida.
Suporte a aplicativos da Microsoft sem agente de autenticação (versão prévia)
A tabela a seguir lista o suporte de aplicativo da Microsoft para chave de acesso (FIDO2) sem um agente de autenticação.
| Aplicativo | macOS | iOS | Android |
|---|---|---|---|
| Área de Trabalho Remota | ✅ | ✅ | ❌ |
| Aplicativo do Windows | ✅ | ✅ | ❌ |
Suporte a aplicativos de terceiros sem agente de autenticação
Se o usuário ainda não tiver instalado um agente de autenticação, ele ainda poderá entrar com uma chave de acesso quando acessar aplicativos habilitados para MSAL. Para obter mais informações sobre os requisitos para aplicativos habilitados para MSAL, confira Suporte à autenticação sem senha com chaves FIDO2 em aplicativos que você desenvolve.
Suporte ao navegador da Web
Esta tabela mostra o suporte de navegadores à autenticação no Microsoft Entra ID e em contas da Microsoft usando o FIDO2. Consumidores criam as contas da Microsoft para serviços como Xbox, Skype ou Outlook.com.
| Sistema operacional | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N/D |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | N/D | N/D | N/D |
| Linux | ✅ | ❌ | ❌ | N/D |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅1 | ❌ | N/D |
1 O suporte para senhas no Authenticator usando o Edge em dispositivos Android estará disponível em breve.
Suporte ao navegador para cada plataforma
As tabelas a seguir mostram quais transportes têm suporte em cada plataforma. Os tipos de dispositivo com suporte incluem USB, NFC(comunicação por campo de proximidade) e BLE (Bluetooth de Baixa Energia).
Windows
| Navegador | USB | NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Versão mínima do navegador
A seguir estão os requisitos mínimos de versão do navegador no Windows.
| Navegador | Versão mínima |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 version 19031 |
| Firefox | 66 |
1 Todas as versões do novo Microsoft Edge com base em Chromium dão suporte a FIDO2. O suporte no Microsoft Edge herdado foi adicionado em 1903.
macOS
| Navegador | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | N/D | N/D |
| Chrome | ✅ | N/D | N/D |
| Firefox2 | ✅ | N/D | N/D |
| Safari2,3 | ✅ | N/D | N/D |
1Não há suporte para as chaves de segurança NFC e BLE no macOS da Apple.
2O novo registro de chave de segurança não funciona nesses navegadores macOS porque eles não solicitam a configuração da biometria ou do PIN.
3Consulte Entrar quando mais de três chaves de acesso forem registradas.
ChromeOS
| Navegador1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1Não há suporte para o registro de chave de segurança no navegador ChromeOS ou Chrome.
Linux
| Navegador | USB | NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Navegador1,3 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | N/D |
| Chrome | ✅ | ✅ | N/D |
| Firefox | ✅ | ✅ | N/D |
| Safari | ✅ | ✅ | N/D |
1O novo registro de chave de segurança não funciona nesses navegadores iOS porque eles não solicitam a configuração da biometria ou do PIN.
2Não há suporte para chaves de segurança BLE no iOS da Apple.
3Consulte Entrar quando mais de três chaves de acesso forem registradas.
Android
| Navegador1 | USB | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1O registro de chave de segurança com o Microsoft Entra ID ainda não tem suporte no Android.
2Não há suporte para chaves de segurança BLE no Android pelo Google.
Problemas conhecidos
Entrar quando mais de três chaves de acesso forem registradas
Se você registrou mais de três chaves de acesso, a entada com uma chave de acesso pode não funcionar. Se você tiver mais de três chaves de acesso, como uma solução alternativa, clique em Opções de entrada e entre sem inserir um nome de usuário.
Suporte do PowerShell
O Microsoft Graph PowerShell dá suporte ao FIDO2. Alguns módulos do PowerShell que usam o Internet Explorer em vez do Edge não têm a capacidade de realizar a autenticação FIDO2. Por exemplo, os módulos do PowerShell para SharePoint Online ou Teams, ou quaisquer scripts do PowerShell que exijam credenciais de administrador, não solicitam o FIDO2.
Como solução alternativa, a maioria dos fornecedores pode colocar certificados nas chaves de segurança FIDO2. A CBA (autenticação baseada em certificado) funciona em todos os navegadores. Se você puder habilitar a CBA nessas contas de administrador, poderá exigir a CBA em vez do FIDO2 nesse ínterim.